▍问：什么是CC的认证等级？

答：《信息技术安全评估准则》（The Common Criteria forInformation Technology Security Evaluation）， 简称 CC 标准 。CC标准将信息技术产品的安全保障程度分为七个级别：EAL1 - EAL7。级别越高，其安全保障能力或安全功能正确实现的可信度就越高，产品就能对抗更高级别的安全威胁，适用于更高安全风险环境。

EAL（Evaluation Assurance Level），即评估保障级，是一种度量信息技术产品安全保障能力的尺度，对于不同的保障评估级别，都有不同的保障要求。每个需求都代表一个应该在产品和相关流程(保证组件)上执行的一项活动。

EAL1-EAL2 可用于保护低价值的资产，抵御无意或低水平攻击者的攻击。

EAL3-EAL4 可用于保护中等价值的资产，抵御有组织团体的攻击。

EAL5 可用于保护高价值的资产，抵御有组织团体的攻击。

EAL6 -EAL7 可用于保护高价值的资产，抵御国家级组织的攻击。

▍问：企业如何选择CC认证等级？

答：企业选择CC认证保障等级最重要的是取决于申请CC评估的目的是什么。

如果目标是基于可靠的评估方法对产品进行一般安全性检查，那么EAL1评估足以满足这一目的。

如果目标是匹配直接竞争对手的认证等级，那么目标等级至少是竞争对手所具备的EAL级别。

如果目标是最终将产品出售给具有高安全标准的合作伙伴，则建议EAL3或EAL4的评估。

通常，对于软件或嵌入式产品，EAL4评估足以有效的证明实现了安全功能的稳健性。

更高级别的CC(例如EAL5及以上等级)，通常用于高风险产品，包括IC、智能卡、军用级设备、加密设备、HSM等。

望安科技可以帮助企业分析产品的安全状况，推荐适合的EAL级别进行评估。

▍问：什么是CC EAL3+/CC EAL5+？

答：在上文中我们提到，CC标准共分为7个等级，由低至高依次为EAL 1到EAL 7，但是相信大家在浏览到相关CC认证的文章，可以看到很多企业都在做CC EAL3+、CC EAL5+等等级。

这些企业通过的EAL 3+、EAL 5+表示该产品认证在满足EAL 3、EAL 5的保障基础上对部分检测项目进行了升级以进行更高级别的评估，是标准等级相应的增强级别。CC 通常在以下两个方面或一个方面提出要求：安全功能要求、安全保障要求。

▍问：关于CC认证的认证周期？

答：CC 的认证时间很大程度上取决于产品所需的评估级别(EAL)，以及产品本身的范围和复杂性，其中产品越复杂、保障级别越高，所需要的认证周期就越长，

望安科技就项目的持续时间给出以下估算时间(针对EAL1‑EAL7评估)。估算考虑了项目开始(启动会议)和最终证书颁发之间的时间长短，假定评估不需要额外的评估轮次。
·   EAL1：1‑2个月
·   EAL2：2‑3个月
·   EAL3：3‑5个月
·   EAL4：4‑8个月
·   EAL5：8‑12个月
·   EAL6：10‑18个月
·   EAL7：12‑24个月

▍问：CC认证产品的评估费用是如何确认的？

答：费用很大程度上取决于TOE的类型和复杂性，以及所选的评估EAL级别。此外，费用还与现有的评估对象的质量相关，因为评估对象的质量低下会引发额外的评估时间。

较低的评估级别(EAL1、EAL2)将具有较少的相关工作量，总价格较低。EAL4评估需要付出额外的必要工作(有测试工作及源代码审查工作)，总价格会更高。

▍问：望安科技CC评估服务？

答：望安CC评估服务包含咨询、方案设计及方案实施等服务，该服务可帮助IT 公司经济且高效地通过国内、国际的CC全等级认证的认证标准。

望安科技是国内可提供实现全等级CC评估服务企业。公司拥有形式化验证核心技术，在领域内已达先进水平。望安科技与国内外多家权威检测机构达成合作，可实现对 EAL5/EAL6/EAL7 级的高等级认证评估服务，实施结果完全符合国内国际标准。

▍问：望安科技CC评估服务优势？

答：1.费用低
帮助企业以较低的成本通过CC认证，相较于国外咨询机构高额的评估费用，本业务费用更低。

2.周期短
帮助企业以较短的时间通过CC认证，相较于国外咨询机构评估服务时间，本业务耗时更短。

3.服务便捷
相较于国外评估机构繁琐的沟通，国内开展CC认证服务更加便捷。

4.技术优
望安科技拥有领先国内外的形式化验证核心技术，形式化验证是通过EAL 5+级以上的必要要素。